Conformité et souveraineté¶
Cadres reglementaires, certifications et enjeux de souveraineté numérique dans le cloud.
RGPD et localisation des données¶
Le Reglement Général sur la Protection des Données (RGPD) impose des obligations strictes sur le traitement des données personnelles de residents de l'Union Europeenne, quelle que soit la localisation du responsable de traitement.
Points clés pour le cloud :
- Les données personnelles ne doivent pas être transferees hors de l'UE/EEE sans mécanisme de protection adequat (clauses contractuelles types, adequation, BCR)
- L'hebergement chez un fournisseur soumis à des lois extraterritoriales (CLOUD Act americain) peut poser des risques même si les données sont physiquement en Europe
- Le responsable de traitement (le client) reste juridiquement responsable, même en cas de sous-traitance au fournisseur cloud
CLOUD Act
La loi americaine CLOUD Act permet aux autorités US d'exiger l'accès aux données hebergees par des sociétés americaines, y compris dans leurs datacenters europeens. Les fournisseurs soumis à cette loi incluent AWS, Azure (Microsoft) et GCP (Google), quelles que soient les garanties contractuelles.
Certifications¶
Les certifications attestent qu'un fournisseur ou une offre répond a des exigences de sécurité ou de conformité définies par des référentiels indépendants. Elles ne dispensent pas le client de sa propre démarche de conformité.
ISO 27001¶
Norme internationale de management de la sécurité de l'information (SMSI). Elle couvre les processus organisationnels, les contrôles techniques et la gestion des risques. La majorité des grands fournisseurs cloud sont certifies ISO 27001 sur leurs infrastructures.
SOC 2¶
Rapport d'audit americain (AICPA) évaluant les contrôles d'une organisation sur cinq critères : sécurité, disponibilité, intégrité du traitement, confidentialite, protection de la vie privee. Le SOC 2 Type II couvre une periode d'observation (généralement 6 a 12 mois), ce qui le rend plus significatif que le Type I.
HDS (Hebergeur de Données de Sante)¶
Certification française obligatoire pour tout hebergeur de données de sante a caractère personnel en France. Elle couvre les activités d'hebergement d'infrastructure, de gestion des systèmes d'information et d'infogerance. AWS, Azure et GCP proposent des offres certifiees HDS pour les regions françaises.
SecNumCloud¶
Qualification delivree par l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) pour les offres de cloud a destination des organismes sensibles (OIV, administrations). Exigences plus strictes que l'ISO 27001 sur l'immunite au droit extraterritorial. Seules quelques offres françaises sont actuellement qualifiees (OVHcloud, 3DS Outscale, Thales/S3NS en cours).
| Certification | Périmètre | Portee géographique |
|---|---|---|
| ISO 27001 | Sécurité du SMSI | Internationale |
| SOC 2 Type II | Contrôles opérationnels | Principalement US/international |
| HDS | Données de sante | France |
| SecNumCloud | Services pour organismes sensibles | France (ANSSI) |
Cloud souverain¶
Concept¶
Un cloud souverain est une offre cloud dont les données et les opérations sont protegees de toute accès par des entités juridiques ou gouvernementales etrangeres. La souveraineté porte sur trois dimensions :
- Souveraineté des données : localisation et accès aux données sur le territoire national
- Souveraineté opérationnelle : les opérations d'administration sont réalisées par du personnel soumis au droit national
- Souveraineté juridique : le fournisseur n'est pas soumis à des lois extraterritoriales permettant un accès force aux données
Défis¶
La souveraineté complète est difficile à atteindre avec des technologies dont la propriété intellectuelle et la R&D sont concentrees aux États-Unis. Les approches actuelles combinent :
- Des offres en coentreprise (joint-venture) avec des acteurs locaux
- Des déploiements isoles techniquement du reste de l'infrastructure du fournisseur global
- Des audits réguliers et des engagements contractuels spécifiques
La mise en œuvre de la souveraineté a un coût : fonctionnalités moins nombreuses, délais de mise à disposition des nouveaux services, tarifs souvent plus élevés.
Acteurs¶
- OVHcloud : acteur europeen, qualifie SecNumCloud sur certaines offres, infrastructure 100 % europeenne
- 3DS Outscale (Dassault Systèmes) : qualifie SecNumCloud, specialise sur les besoins de defense et industrie
- S3NS (Thales + Google) : offre en cours de qualification SecNumCloud, basée sur une version isolee de GCP
- Bleu (Capgemini + Orange + Microsoft) : offre Azure souveraine en France, en cours de construction
- AWS : propose des regions GovCloud (US) pour les administrations americaines ; pas de qualification SecNumCloud
Renvoi vers les pages providers¶
Chaque fournisseur traite ses spécificités de souveraineté dans sa page dédiée :
- GCP : voir Souverainete GCP — universe domain, Trusted Partner Sovereignty
- Azure : voir Souverainete Azure — offre Bleu, regions France
- AWS : voir Souverainete AWS — GovCloud, Nitro, engagements contractuels
- OVHcloud : voir Souverainete OVH — SecNumCloud, vRack, localisation
Référentiel ANSSI
Pour les organismes soumis à des obligations de sécurité élevées (OIV, administrations, opérateurs de sante), se référer directement aux listes d'offres qualifiees publiées par l'ANSSI sur ssi.gouv.fr.